A kérdezőnek figyelmébe:::
- mindenképpen zfs filerendszerben érdemes gondolkodni, valamely
virtualizációs megvalósítással: pl proxmox
- mentés külső eszközre is KELL
-snapshot miatt ha gáz van könnyedén vissza lehet állni a vírus előtti
időkre, persze ezt be kell konfigurálni, hogy elkészüljenek azok
Az én rendszerem így néz ki:
freenas 2x4db hdd-vel (zfs) >>> ez a storage
proxmox 1 1db ssd a rendszernek akár pendrive is lehetne :)
proxmox 2 1db ssd a rendszernek itt is
A két proxmox a freenassal bondingban össze van kötve és a freenason van
gyakorlatilag minden. (vm-ek is iscsi-vel )
A mentések egy külső helyre is mennek. (gsuite + synology nas ami más
fizikai helyen van)
Ebben az egészben a snapshot funkció a legkirályabb és leghasznosabb. A
véletlen törléstől kezdve a hibás frissítés telepítésén át a titkosító
vírusig mindentől MEGVÉD!!!
Szerintem eszerint csináld.
A proxmox tud hdd-t is fogadni zfs-el és ugyanígy meglesz a snapshot
funkció is....
Üdv!
2020. 11. 21. 6:37 keltezéssel, eNTi Szoft írta:
Üdv Lista, András,
2020. 11. 20. 21:45 keltezéssel, techinfo-requ...@lista.sulinet.hu írta:
Message: 7
Date: Fri, 20 Nov 2020 17:10:38 +0100
From: Varga András<administra...@kisfaludy.hu>
A szerverünk az éjjel a fenti zsaroló programmal fertőződött...
...minden file titkosítva lett; a NET tudásbázisa sem kecsegtet sok
reménnyel...
Valaki? ...találkozott már a problémával? és a megoldásával?
Ha van mentésed a szerver adatairól, akkor van esély a zavartalan
folytatásra.
Minden más halott ügy, mert
- zsarolásnak nem engedünk; egyrészt ki fizesse ki a zsarolt összeget,
másrészt, nincs rá garancia, hogy valóban megkapod a visszafejtő
kulcsot, harmadrészt, ha már találtak egy tejelő kuncsaftot, miért ne
próbálnák meg újra?
- a konkrét kulcs hiányában nincs esély a visszafejtésre.
- de még ha lenne is visszafejtő kód, nem lehetsz biztos abban, hogy
valami rejtett zugban nem bújt meg valami alvó ügynök, és nem fog
legközelebb is aktiválódni.
A menet:
- szerver lehúzása a külső és belső hálózatról
- mivel minden titkosítva lett, nulláról újra húzni a szükséges
szoftvereket
- a legkiválóbb védelem mellett is érhet fertőzés, ha magán az op.
rendszeren nincsenek befoltozva a biztonsági rések, ezért FEL KELL
TELEPÍTENI MINDEN FRISSÍTÉST, AMI A RENDSZEREKHEZ ELÉRHETŐ. Jó
eséllyel nem kliens oldali a fertőzés forrása. A szerver-fertőzések
két legfőbb oka a frissítések hiányából fakadó biztonsági rések
ÉS/VAGY a rendszergazda óvatlan eszközhasználata, pl. nyitva hagyott
távoli elérési kapu.
- felkonfigurálni mindent, amire szükséged van
- megfelelő védelmet telepíteni és beállítani a szerveren. Ma már van
olyan két körös védelem a piacon, ami egyrészt távol tartja a káros
kódot a géptől, másrészt, ha valami fatális véletlen folytán mégis
átszakadna ez a vonal, a második gát nem eged fertőzhető áldozathoz
férést a gépen.
- előkeresni a legfrissebb mentést, ami abban megvan, abból
visszaállítani az adatokat, ami nincs, annak forrását felkutatni, az
adatait újra bevinni a rendszerbe.
- ezzel párhuzamosan széthúzott hálózat mellett végig kutatni a
klienseket, nincs-e rajtuk bármi kártevő.
és csak ha már minden rendben van, akkor visszakapcsolni a hálózatot.
Utógondozás:
- tanulságokat levonni
- biztonsági házirendet elkészíteni/frissíteni
- a kollégákat megtanítani, miért védik őket (is) ezek a rendelkezések
- betartani, betartatni, folyamatosan fejleszteni.
Message: 8
Date: Fri, 20 Nov 2020 17:34:32 +0100
From: Sándor Fehér<sandor.fehe...@gmail.com>
Csak mentés segít, ha van.
Ha nincs akkor kereszt...
+1
Message: 9
Date: Fri, 20 Nov 2020 17:37:19 +0100
From: "=?UTF-8?B?TW9sbsOhciBQw6l0ZXI=?="<moln...@petersoft.hu>
Lehet tudni, hogy
1. Milyen rendszert tamadott meg?
2. Hogyan jutott be?
Hatha tanulhatunk belole.
András, ez a te jövőd szempontjából is fontos kérés.
Rajtad is segít, ha tudod, mi vezetett ide, mert legközelebb már nem
fogod elkövetni ezt a hibát.
Ha ezt meg is osztod, akkor ha csak egyvalaki is profitálhat a
tapasztalataidból, és elkerüli ezt a kárt, már megérte.
Message: 10 Date: Fri, 20 Nov 2020 18:24:10 +0100 From: Alaksza
Balázs <johnny1...@gmail.com> Mi lett a fájlok kiterjesztése? Az
dönti el melyik támadott a sok ransomware közül, némelyikhez(főleg
régebbiek) van decrypter, egy guglizást megér, de azért nagy
reményeket ne fűzz hozzá.
Megoldás:
0.: megkeresni honnan jött, ha user hiba(99%) akkor felhasználót
keresztre feszíteni, feldarabolni és az iskola 4 sarkába temetni
1.: szerver legyalulása, tiszta rendszer telepítése
2.: normális vírusírtó vásárlása
3.: adatok visszatöltése mentésből
Milyen oprendszer volt? Milyen védelemmel?
Az alapján amiket ezekről olvastam főleg kamu e-mail
csatolmány/fertőzött oldalról jönnek, illetve a nem teljesen up-to-date
windowsok távoli asztal lehetőségén használnak ki valami rést.
Jó, hogy ezt felvetetted, kicsit tovább lehet gondolni az esetet.
Alapjaiban igazad van, azt leszámítva, hogy manapság már szinte
mindegy, mi volt a kártevő.
Van felmérés, amiben nagy, >1000 gépes nemzetközi cégek IT vezetői
arról számolnak be, hogy az esetek kb. ötödében egyszerűen nem volt
kapacitás a fertőzési mechanizmus tisztázására.
Az ő "drága tanfolyamuk" eredménye: kárt nem felszámolni, hanem
megelőzni a kifizetődő.
Ezt az elavult "van egy víruskeresőm, minden rendben van" szemlélettel
nem lehet elérni.
Ma már csak a védelmi feladatra legmegfelelőbb védekezés vezet
eredményre.
Ennek kialakításában a lényeg a védelmi rések felderítése és
felügyelet alatt tartása - és a rés itt széles értelemben vizsgálandó.
Minden olyan faktor ide tartozik, ami ha érvényesülhet, a rendszered
károsul.
(Kellemetlen, de attól még tény: igen, akár a saját rendszergazdai
szakismeret hiányosságai is, de pl. a pénzügyek ingyenes védelmet
elváró, biztonsági kérdésekben nem járatos, ám döntéshozó gazdái is
ide értendők.)
Üdvözlettel:
Simon Gábor
eNTi Szoft Kft.
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás:
http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/